You are here: Home » Справка и подсказки » Решение проблемы Failed to configure CA certificate chain!, Fatal error initialising mod_ssl, exiting.

Решение проблемы Failed to configure CA certificate chain!, Fatal error initialising mod_ssl, exiting.

При обновлении до Apache 2.4.25 или до OpenSSL 1.1.0.e вы можете столкнуться проблемой, когда веб-сервер Apache, использующий SSL (HTTPS), вдруг перестал запускаться. В логах ошибок веб-сервера может быть:

[Tue Apr 25 06:42:01.508153 2017] [ssl:emerg] [pid 866] AH01903: Failed to configure CA certificate chain!
[Tue Apr 25 06:42:01.508226 2017] [ssl:emerg] [pid 866] AH02312: Fatal error initialising mod_ssl, exiting.

Если проблема возникла внезапно (раньше работало, а после обновления Apache или OpenSSL веб-сервер перестал запускаться), то, скорее всего, дело в неправильной настройке одного или нескольких виртуальных хостов.

Начиная с Apache >= 2.4.8 при настройке виртуального хоста (в конфигурационном файле Apache) не должна использоваться опция SSLCertificateChainFile. Тот промежуточный сертификат (aka leaf certificate или end-entity certificate), который вы указывали ранее с этой опцией, должен быть дописан после сертификата сервера, который указывается с опцией SSLCertificateFile. Если промежуточных сертификатов несколько, то все они должны указываться в файле SSLCertificateFile.

Т.е. если раньше типичная настройка HTTPS виртуального хоста выглядела так:

SSLCertificateChainFile "/etc/ssl/certs/ca-bundle.crt"
SSLCertificateFile "/etc/ssl/certs/server.crt"
SSLCertificateKeyFile "/etc/ssl/private/server.key"

То теперь она должна выглядеть так:

SSLCertificateFile "/etc/ssl/certs/fullchain.crt"
SSLCertificateKeyFile "/etc/ssl/private/server.key"

Здесь fullchain.crt это server.crt + ca-bundle.crt

На момент написания также имеется проблема с dovecot как-то связанная с SSL, решение которой, к сожалению, ещё не найдено.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *